Como o NemoClaw Funciona

O NemoClaw combina um plugin CLI leve com um blueprint versionado para mover o OpenClaw para um sandbox controlado. Esta página explica os conceitos-chave sobre o NemoClaw em alto nível.

Como Tudo se Encaixa

O CLI nemoclaw é o ponto de entrada principal para configurar e gerenciar agentes OpenClaw em sandbox. Ele delega o trabalho pesado a um blueprint versionado, um artefato Python que orquestra a criação do sandbox, aplicação de políticas e configuração do provedor de inferência através do CLI do OpenShell.

flowchart TB
    subgraph Host
        CMD["nemoclaw onboard"]
        PLUGIN[nemoclaw plugin]
        BLUEPRINT[blueprint runner]
        CLI["openshell CLI sandbox · gateway · inference · policy"]

        CMD --> PLUGIN
        PLUGIN --> BLUEPRINT
        BLUEPRINT --> CLI
    end

    subgraph Sandbox["OpenShell Sandbox"]
        AGENT[OpenClaw agent]
        INF[NVIDIA inference, routed]
        NET[strict network policy]
        FS[filesystem isolation]

        AGENT --- INF
        AGENT --- NET
        AGENT --- FS
    end

    PLUGIN --> AGENT

    classDef nv fill:#76b900,stroke:#333,color:#fff
    classDef nvLight fill:#e6f2cc,stroke:#76b900,color:#1a1a1a
    classDef nvDark fill:#333,stroke:#76b900,color:#fff

    class CMD,PLUGIN,BLUEPRINT nvDark
    class CLI nv
    class AGENT nv
    class INF,NET,FS nvLight

    style Host fill:none,stroke:#76b900,stroke-width:2px,color:#1a1a1a
    style Sandbox fill:#f5faed,stroke:#76b900,stroke-width:2px,color:#1a1a1a

Princípios de Design

A arquitetura do NemoClaw segue os seguintes princípios.

Plugin enxuto, blueprint versionado O plugin permanece pequeno e estável. A lógica de orquestração reside no blueprint e evolui em sua própria cadência de release.

Respeitar os limites do CLI O CLI nemoclaw é a interface principal. Os comandos do plugin estão disponíveis em openclaw nemoclaw, mas não substituem os comandos nativos do OpenClaw.

Segurança da cadeia de suprimentos Os artefatos de blueprint são imutáveis, versionados e verificados por digest antes da execução.

Nativo do OpenShell para novas instalações Para usuários sem uma instalação existente do OpenClaw, o NemoClaw recomenda usar openshell sandbox create diretamente em vez de forçar um bootstrap orientado por plugin.

Configuração reprodutível Executar a configuração novamente recria o sandbox a partir do mesmo blueprint e definições de política.

Plugin e Blueprint

O NemoClaw é dividido em duas partes:

  • O plugin é um pacote TypeScript que alimenta o CLI nemoclaw e também registra comandos em openclaw nemoclaw. Ele lida com a interação do usuário e delega o trabalho de orquestração ao blueprint.
  • O blueprint é um artefato Python versionado que contém toda a lógica para criar sandboxes, aplicar políticas e configurar a inferência. O plugin resolve, verifica e executa o blueprint como um subprocesso.

Essa separação mantém o plugin pequeno e estável enquanto permite que o blueprint evolua em sua própria cadência de release.

Criação do Sandbox

Quando você executa nemoclaw onboard, o NemoClaw cria um sandbox OpenShell que roda o OpenClaw em um contêiner isolado. O blueprint orquestra esse processo através do CLI do OpenShell:

  1. O plugin baixa o artefato do blueprint, verifica a compatibilidade de versão e valida o digest.
  2. O blueprint determina quais recursos do OpenShell criar ou atualizar, como gateway, provedores de inferência, sandbox e política de rede.
  3. O blueprint chama comandos do CLI do OpenShell para criar o sandbox e configurar cada recurso.

Após o sandbox iniciar, o agente roda dentro dele com todos os controles de rede, sistema de arquivos e inferência em vigor.

Roteamento de Inferência

As requisições de inferência do agente nunca saem do sandbox diretamente. O OpenShell intercepta toda chamada de inferência e a roteia para o provedor configurado. O NemoClaw roteia a inferência para a nuvem NVIDIA, especificamente o Nemotron 3 Super 120B através do build.nvidia.com. Você pode trocar de modelo em tempo de execução sem reiniciar o sandbox.

Política de Rede e Sistema de Arquivos

O sandbox inicia com uma política de linha de base rigorosa definida em openclaw-sandbox.yaml. Esta política controla quais endpoints de rede o agente pode acessar e quais caminhos do sistema de arquivos ele pode utilizar.

  • Para rede, apenas os endpoints listados na política são permitidos. Quando o agente tenta acessar um host não listado, o OpenShell bloqueia a requisição e a exibe no TUI para aprovação do operador.
  • Para sistema de arquivos, o agente pode escrever em /sandbox e /tmp. Todos os outros caminhos do sistema são somente leitura.

Os endpoints aprovados persistem durante a sessão atual, mas não são salvos no arquivo de política de linha de base.

Próximos Passos

  • Siga o Início Rápido para iniciar seu primeiro sandbox.
  • Consulte a Arquitetura para a estrutura técnica completa, incluindo layouts de arquivos e o ciclo de vida do blueprint.
  • Consulte os Perfis de Inferência para detalhes de configuração do provedor.
arrow_back
Anterior
Overview
Próximo
Release Notes
arrow_forward